Straffelovrådets betænkning om datakriminalitet Det administrative Bibliotek Slotsholmsgade 12 1216 København K BETÆNKNING NR. 1032 KØBENHAVN 1985
ISBN 87-503-5436-1 Ju 00-169-bet. Eloni tryk København
Indholdsfortegnelse side Forord 5 Sammenfatning 3 Kapitel 1. Kapitel 2. Kapitel 3. Kapitel 4. Kapitel 5. Kapitel 6. Kapitel 7. Kapitel 8. Kapitel 9. Indledning 1. Datateknikken 2. Datakriminalitet 3. Gerningstyper og lovregler Fredskænkelser Tyveri og brugstyveri Tingsbeskadigelse og -ødelæggelse Almenfarlige og almenskadelige forbrydelser.. Bedrager i Pengeunderslæb og mandatsvig Bevisforbrydelser Særlovgivningen.. 11 11 13 17 21 30 36 40 44 51 59 65 Straffelovrådets lovudkast med bemærkninger 76
5 Forord Ved skrivelse af 19. marts 1984 anmodede justitsministeriet straffelovrådet om en udtalelse om, hvorvidt de gældende bestemmelser i straffeloven er tilfredsstilllende udformet med henblik på gerningstyper, der har forbindelse med elektronisk databehandling (datakriminalitet). I justitsministeriets skrivelse henvistes til, at en række sager om datakriminalitet, der var under behandling hos politiet eller anklagemyndigheden, havde givet anledning til offentlig omtale og diskussion. Det oplystes, at justitsministeriet og anklagemyndigheden, navnlig statsadvokaten for særlig økonomisk kriminalitet, havde fulgt udviklingen på dette ormdåe, og at anklagemyndigheden endnu ikke havde haft sager om datakriminalitet, som ikke var omfattet af de gældende bestemmelser i straffeloven. Justitsministeriet fandt det imidlertid hensigtsmæssigt, at der blev foretaget en samlet vurdering af, om de gældende regler er tilfredsstillende udformet med henblik på sådanne forhold. Der kunne efter justitsministeriets opfattelse bl.a. være en vis tvivl om "hvorvidt gerningsbeskrivelsen i straffelovens bestemmelser navnlig om fredskrænkelser, berigelseforbrydelser, tingsødelæggelse og brugstyveri i tilstrækkeligt omfang omfatter f.eks. retsstridig tilegnelse, ødelæggelse eller brug af dataudstyr, dataprogrammer eller data, som er lagret i databehandlingsudstyr". Desuden nævntes det spørgsmål, om straffelovens bestemmelser giver mulighed for at idømme tilstrækkelig høj straf for tilfælde af særlig grov datakriminalitet, der er omfattet af loven. Justitsministeriet anmodede om, at straffelovrådets udtalelse så vidt muligt måtte foreligge i løbet af 1984. Denne frist er senere blevet forlænget til ca. 1. marts 1985. Straffelovrådet har modtaget værdifuld bistand fra Kommunedata I/S, Kjøbenhavns Handelsbank A/S og statsadvokaten for særlig økonomisk kriminalitet.
6 Rådets formand og sekretariatet har endvidere deltaget i møder med sagkyndige i de andre nordiske lande og i et af OECD afholdt møde i Paris den 10. og 11. december 1984 om "computer-related criminality". Det er i mange lande aktuelt at overveje, om datakriminalitet giver anledning til ændringer i straffelovgivningen, og opmærksomheden samler sig navnlig om de gerningstyper, der er nævnt nedenfor i kapitel 1.3. Om aktuelle overvejelser i de nordiske lande skal kort anføres følgende. I Norge har strafffelovrådet i 1983 fået stillet en opgave, der i det væsentlige svarer til den, der foreligger i Danmark, og en norsk betænkning ventes afgivet i 1985. I Sverige er nogle sider af datakriminaliteten omtalt i betænkningen översyn av lagstiftningen om förmögenhetsbrott utom gäldenärsbrott" {SOU 1983:50). Der stilles her forslag om en ny straffebestemmelse om "datorbedrägeri". Tilsvarende foreligger der fra det finske strafflagsprojekt et forslag om en ny bedrageribestemmelse (se om det svenske og det finske forslag nedenfor i kapitel 6). Både i Sverige og Finland går man videre med drøftelser om andre sider af datakriminaliteten. I straffelovrådets sammensætning er der i januar 1984 sket følgende ændringer. Tidligere afdelingschef i justitsministeriet Michael Lunn er udtrådt af rådet efter at være blevet udnævnt til departementschef i energiministeriet, og i hans sted er kontorchef i justitsministeriet Michael Elmer udpeget som medlem af rådet og leder af dettes sekretariat. Fængselsinspektør, lic. jur. Ole Ingstrup er udtrådt af rådet efter at have overtaget en stilling ved Correctional Service, Canada, og han er blevet efterfulgt af direktør for kriminalforsorgen Frits Hellborn som medlem af rådet. Endvidere er politimester Jørgen Langkilde blevet udpeget som medlem af rådet. Straffelovrådet har således ved afgivelsen af denne betænkning haft følgende sammensætning: professor, dr. jur. Knud Waaben (formand), advokat Jørgen Bang, kontorchef Michael Elmer,- retspræsident Kurt Haulrig, direktør for kriminalforsorgen Frits Hellborn, politimester Jørgen Langkilde og rigsadvokat Per Lindegaard.
7 Hvervet som sekretær for rådet er varetaget af fuldmægtig i justitsministeriet Bent Carlsen. København, den 4. marts 1985. Jørgen Bang Elmer Kurt Haulrig Frits Hellborn Jørgen Langkilde Per Lindegaard Knud Waaben (formand) /Bent Carlsen (sekretær)
8 Sammenfatning Straffelovrådet har i denne betænkning behandlet spørgsmålet om datakriminalitet. Rådet har i den forbindelse foretaget en gennemgang af straffeloven og de væsentligste særlove med henblik på at konstatere, om der er behov for at foretage lovændr inger. I betænkningens kapitel 1 har man kort beskrevet datateknikken, og hvad der forstås ved datakriminalitet. Det anføres, at den egentlige datakriminalitet er de strafbare handlinger, der rummer en anvendelse af den for databehandling særegne teknik med hensyn til registrering, opbevaring, bearbejdelse og brug af oplysnnger. Rådet har dog ikke lagt vægt på at fastholde en begrænsning til den egentlige datakriminalitet, men har også behandlet handlinger, som har forbindelse til databehandling, uden at der anvendes særlig datateknik, f.eks. beskadigelse eller ødelæggelse af dataanlæg. I samme kapitel beskrives de vigtigste typer af datakriminalitet. I kapitel 2 findes en gennemgang af straffelovens bestemmelser om fredskrænkelser, navnlig bestemmelserne i 263 og 264. Det kan efter rådets opfattelse give anledning til en vis tvivl, om uberettiget indsigt i data er omfattet af bestemmelsen i 263. For at gøre det klart, at det er strafbart at skaffe sig sådan adgang til oplysninger, som er lagret i et dataanlæg, foreslås en ny bestemmelse herom indføjet i 263 som et nyt stk. 2. Endvidere foreslås en ny strafskærpelsesbestemmelse indføjet i 263 for de tilfælde, hvor gerningsmanden i forbindelse med en overtrædelse af 263, stk. 1 og 2, har haft forsæt til at skaffe sig oplysninger om en virksomheds erhvervshemmeligheder, eller hvor der i øvrigt foreligger særligt skærpende omstændigheder. Kapitel 3 indeholder en gennemgang af straffelovens bestemmelser om tyveri ( 276) og brugstyveri ( 293). Det konstateres, at tyveribestemmelsens krav om borttagelse af en fremmed rørlig ting giver den et meget begrænset anvendelsesområde i datafor-
9 hold, men at der på den anden side ikke er noget behov for at udvide bestemmelsen. Endvidere konkluderes det, at bestemmelsen om brugstyveri i vidt omfang vil kunne finde anvendelse på uberettiget brug af dataanlæg, programmer og oplysninger, der er lagret på fysiske genstande. Kapitel 4 indeholder en gennemgang af straffelovens bestemmelse i 291 om tingsbeskadigelse og tingsødelæggelse med hensyn til dataforhold. Rådet antager, at bestemmelsen vil kunne finde anvendelse ikke alene på tilfælde, hvor et dataanlæg beskadiges, men også på en række tilfælde, hvor datalagrede oplysninger eller programmer ændres eller slettes. Der foreslås derfor ikke ændringer af denne bestemmelse. I kapitel 5 har man foretaget en gennemgang af straffelovens kapitel 20 og 21 om almenfarlige og almenskadelige forbrydelser. Rådet finder, at det bør være strafbart at fremkalde omfattende forstyrrelse i driften af dataanlæg, og foreslår en tilføjelse herom til straffelovens 193 samt en forhøjelse af denne bestemmelses strafmaksimum til 6 års fængsel. I kapitel 6 gennemgås straffelovens 279 om bedrageri med henblik på dataforhold. Efter rådets opfattelse vil bestemmelsen ikke være anvendelig i de bedragerilignende situationer, hvor det ikke er et menneske, der besviges, men en datamaskine, som modtager urigtige oplysninger fra gerningsmanden, og som derfor leverer et urigtigt resultat med økonomiske følger. En del af disse forhold vil i dag kunne straffes efter straffelovens bestemmelser om underslæb og mandatsvig. Men straffelovrådet har fundet det hensigtsmæssigt at udforme en ny bestemmelse i 279 a om databedrageri, som gør det klart, at det er strafbart retsstridigt at påvirke resultatet af en databehandling for at skaffe sig eller andre en uberettiget vinding. I kapitel 7 beskrives straffelovens bestemmelser om pengeunderslæb ( 278) og mandatsvig ( 280). Navnlig den sidstnævnte har i praksis fundet anvendelse på datakriminalitet. Bl.a. under hensyn til det foran nævnte forslag om en bestemmelse om databedrageri finder rådet ikke behov for ændringer af de to bestem-
10 melser. Kapitel 8 indeholder en gennemgang af straffelovens bestemmelser i kapitel 19 om bevisforbrydelser, navnlig 171 om dokumentfalsk og 178 om bevisødelæggelse. Det konstateres, at bestemmelserne i kapitel 19 kun har et begrænset anvendelsesområde med hensyn til dataforhold. Efter rådets opfattelse er der ikke på nuværende tidspunkt tilstrækkeligt grundlag for at foreslå en ny bestemmelse i kapitel 19 om dataindgreb eller lignende. Samme konklusion er rådet nået til med hensyn til straffelovens bestemmelser i kapitel 17 om urigtige erklæringer. I kapitel 9 omtales de vigtigste af de særlove, som har tilknytning til spørgsmålet om datakriminalitet: registerlovene, lov om betalingskort, markedsføringsloven og ophavsretsloven.
11 Kapitel 1 Indledning 1.1. Datateknikken Den centrale enhed i et dataanlæg er den, som styrer og udfører de elektroniske operationer. Det udefra kommende materiale af oplysninger formuleres i maskinkode, d.v.s tegn, der kan omsættes til impulser i de elektroniske komponenter - chps eller integrerede kredsløb -, som indeholdes i centralenheden. Hvis oplysninger skal bevares, sker dette i computerens "ydre lager", typisk et magnetbånd eller en pladeformet diskette,- der har en partikeibelægning, som kan magnetiseres. De registrerede oplysninger eller et ordnet udvalg af dem gøres tilgængelige ved aktivering af de elektroniske impulser. Alle operationer bestemmes af programmer, d.v.s. forud fastlagte instruktioner for ordning, udvælgelse og anden bearbejdelse af data fra computerens lager. Centralenheden rummer en regneenhed, der udfører alle regneoperationer, samt en styreenhed, der sørger for, at kørsel sker efter de i programmet angivne retningslinier. Det beror på brugerens behov, om oplysninger og programmer på magnetbånd og disketter skal være direkte knyttet til computeren, det vil sige umiddelbart disponible til brug for operationer, eller de skal adskilles fra computeren og arkiveres, indtil de igen forbindes med computeren. Et typisk objekt for arkivering er sikkerhedskopier af materiale. Det må fremhæves, at programmer ikke er en del af beholdningen af oplysninger, selvom de datateknisk foreligger og virker på samme måde som disse. Programmer er selvstændige redskaber til strukturering af datamassen. De spænder fra det meget enkle til det stærkt komplicerede, fra standardiserede programmer med et bredt anvendelsesområde til de mest specialiserede. Datakriminalitet kan derfor ikke blot bestå i uberettiget indblik i eller ændring af lagrede oplysninger, men også f.eks. i ulovlig tilegnelse af et program gennem misbrug af et dataanlæg.
12 Ved indlæsning og udlæsning af data benyttes oftest terminaler, der består af et tastatur og en dataskærm, eventuelt også en printer der kan udskrive det ønskede på papir. I sin oprindelige form var computeren indrettet således, at alle operationer fra modtagelsen af inddata til afslutningen af databehandling foregik på samme sted. Det er karakteristisk for den senere udvikling, at terminaler kan befinde sig langt fra den centrale enhed, således at der ved terminalen kan afsendes og modtages data til og fra et hovedkontor o.l. Der kan desuden til en terminal være knyttet en mindre computer med mulighed for brug af terminalens egne disketter. Transmissionen mellem centralenheden og terminalen eller mellem flere terminaler indbyrdes kan foregå på forskellige måder, f.eks. gennem interne ledninger eller kabler, gennem telexnettet, det offentlige datanet, det almindelige telefonnet (herunder lejede telefonkredsløb) eller bredbånd. Ved brug af telefonnettet anvendes apparater ("modemer"), der omsætter datamaskinens signaler til signaler, der kan transmitteres via telefonnettet. De vigtigste elementer i et datasytem er således: den centrale enhed, terminalen, transmissionsforbindelsen, de lagrede data og programmet. På hvert af disse punkter kræves der sikkerhedsforanstaltninger, dels for at sikre korrektheden af datamassen og dens behandling, dels for at værne systemets indhold og funktioner mod uberettiget indsigt og brug. De foran nævnte elementer er samtidig dem, der udgør mulige angrebspunkter for datakriminalitet.sikkerhedsforanstaltningerne er af mange forskellige slags: aflåsning af døre, nøglekontrol, tyverialarm, hemmeligt telefonnummer til modemforbindelser, kopiering af data og programmer, kontrolkørsel af materiale, logiske prøver på databehandlingens korrekthed, efterfølgende revision o.s.v. En særlig form for sikring er den, der er indlagt i systemet med henblik på adgangsbegrænsning og anvendelseskontrol. Som eksempler på sådan sikring kan nævnes navne- og initialidentificering (hvor kun indtastning af legale brugeres navne eller initialer åbner forbindelsen), anvendelse af passwords eller
13 kodeord, der bestemmer, hvilke dele af systemet den pågældende har adgang til, samt anvendelse af protektionskoder, der bestemmer, hvad den pågældende må foretage sig (læse, skrive, slette) i den del af systemet, som han har legal adgang til. I mange større systemer vil der endvidere ske en særskilt registrering af illegale adgangsforsøg, og i de fleste større systemer sker der en logregistrering af, hvem der har været inde i systemet og i hvilket tidsrum m.v. Værdien af sikringer afhænger naturligvis af, i hvilket omfang de fungerer i praksis. F.eks. er initialidentificering ikke meget værd, hvis en terminal efterlades åbnet i frokostpausen, og passwords er ikke meget værd, hvis andre er bekendt med dem. Dertil kommer, at i stort set alle systemer vil programmører, der kender systemerne, kunne læse alle aktuelle initialer, passwords o.l. Logregistrering og registrering af illegale adgangsforsøg øger muligheden for at opdage angreb på systemet i tide og forbedrer politiets efterforskningsmuligheder. En særlig form for sikring er knyttet til arbejdsdeling. Det øger mulighederne for kriminalitet i ansættelsesforhold, at samme person er beskæftiget med den forudgående ekspedition af grundmateriale (arbejdssedler, fakturaer o.l), indlæsning eller forberedelse hertil og den efterfølgende ekspedition på grundlag af databehandlingen (udsendelse af lønsedler, regninger o.l.) samt kontrol med overensstemmelsen med grundmaterialet. Risikoen for, at flere ansatte medvirker om en forbrydelse, er gennemgående mindre end risikoen for, at en person, der sidder på alle funktioner, begår kriminalitet. 1.2. Datakriminalitet. Udtryk som "data", "databehandling" o.l. omfatter sprogligt alle oplysninger og enhver form for behandling - herunder manuel behandling - af oplysninger. Når udtryk som disse anvendes i det følgende, sigtes der imidlertid til forhold, der har
14 tilknytning til den elektroniske databehandling. Udtrykket "elektronisk databehandling" er anvendt i to af de udkast til lovændringer, som straffelovrådet fremlægger. Efter det for rådet oplyste er der ikke behov for at foretrække det i dansk sprogbrug mindre indarbejdede udtryk "automatisk databehandling" (på svensk: ADB) frem for udtrykket "elektronisk databehandling" (EDB). Datakriminalitet eller EDB-kriminalitet ("computer crime") kan defineres på forskellige måder. Enkelte sider af definitionsspørgsmålet skal her kort omtales, særlig med henblik på en foreløbig præsentation af forskellige gerningstyper. Det kan være praktisk først at fremhæve, at udtrykket "datakriminalitet" ikke her begrænses til handlinger, der allerede nu er strafbare i dansk ret. Ordet omfatter handlinger, der enten er eller muligvis bør være strafbare. I almindelighed er det ikke hensigtsmæssigt at bruge udtrykket "kriminalitet" om andre forhold end dem, der er kriminaliserede, d.v.s. strafbare. Men formålet med de følgende afsnit er at undersøge, om de gældende regler er vide nok til at ramme de dataforhold med straf, som bør kunne rammes. I denne sammenhæng er det formentlig hensigtsmæssigt, at de handlinger, som kommer i søgelyset, kan kaldes "datakriminalitet", før man ved, om de er strafbare. Ville man undgå denne terminologiske inkonsekvens, måtte man formentlig begynde med at tale om "datamisbrug" el.lign. og reservere ordet "datakriminalitet" for de forhold, om hvilke det tillige kan fastslås, at de er strafbare. Når det gælder den nærmere forståelse af udtrykket "datakriminalitet", bør man formentlig lægge til grund, at den egentlige datakriminalitet er de strafbare handlinger, der rummer en anvendelse af den for databehandling særegne teknik med hensyn til registrering, opbevaring, bearbejdelse og brug af oplysninger. Hertil hører ikke blot uberettiget tilføjelse, ændring eller slettelse af oplysninger, indgreb i datanlæggets programmering etc., men også det forhold, at en person uden at ændre noget skaffer sig kendskab til oplysninger eller programmer ved uberettiget brug af dataanlægget.
15 Datakriminalitet i vid forstand omfatter også andre handlinger end de her nævnte: forfalskning af det grundmateriale, der foreligger før dataregistreringens påbegyndelse, eller af udskrifter af en afsluttet databehandling, undladelse af at gøre opmærksom på fejl ved en databehandling, modtagelse af penge efter fuldbyrdelsen af en hovedforbrydelse, der er realiseret ved brug af datateknik, tyveri af et dataanlæg eller dele heraf, beskadigelse og ødelæggelse af et anlæg eller dele heraf ved traditionelle fysiske midler som slag eller overrivning af ledninger etc. I forbindelse med de sidstnævnte eksempler kan anføres, at der foreligger egentlig datakriminalitet i den ovenfor fremhævede betydning, såfremt beskadigelse eller ødelæggelse forvoldes ved indtastning af ordrer om ændring eller slettelse af oplysninger. Straffelovrådet har ikke i det følgende lagt vægt på at fastholde en begrænsning til datakriminalitet i egentlig forstand. De centrale problemer er dog givetvis dem, der knytter sig til registrering, ændring, bearbejdelse, transmission og brug af oplysninger inden for rammerne af et dataanlæg. Nogle hovedtyper af datakriminalitet vil blive fremhævet nedenfor i kapitel 1.3. Oplysninger fra mange lande tyder på, at datakriminaliteten har fået et meget stort, omfang. Der udfoldes derfor mange bestræbelser for at indbygge sikkerhedsforanstaltninger i brugen af dataanlæg. De mest omfattende og indgående undersøgelser og rapporter vedrører forholdene i USA, og herfra stammer den største del af det materiale, der belyser variationer i de faktisk anvendte kriminelle metoder, herunder eksempler på økonomiske besvigelser i stor stil. Samtidig kan det dog konstateres,- at en række gerningstyper går igen i flere lande, hvilket ikke kan overraske, eftersom datateknikken og dens anvendelse i forretningslivet og i offentlig administration stort set er den samme alle steder og frembyder de samme muligheder for at udnytte systemets svage punkter. Straffelovrådet har ikke fundet det nødvendigt at gå ind på en nærmere redegørelse for forholdene i andre lande, men har i hovedsagen begrænset sig til
16 at behandle de erfaringer og problemer, der er af størst betydning med henblik på en vurdering af de gældende danske regler. Der er dog på en række punkter anledning til at benytte eksempler, der ikke støtter sig på erfaringer fra dansk praksis, men i mere hypotetisk form belyser områder, der enten er eller ikke er dækket af de gældende regler. Hvis man ville slutte noget om datakriminalitetens omfang i Danmark på grundlag af de sager, der har foreligget for politiet og anklagemyndigheden, måtte man komme til det resultat, at denne kriminalitet spiller en ret ringe rolle. Straffelovrådet har haft lejlighed til at gøre sig bekendt med de fleste af de sager, der har været behandlet af statsadvokaten for særlig økonomisk kriminalitet. I forhold til samtlige sager om forbrydelser som underslæb, bedrageri, mandatsvig o.l. udgør sagerne om datakriminalitet en meget lille gruppe. Der er dog grund til at antage, at datakriminaliteten faktisk har et noget større omfang, men det lader sig næppe gøre at anstille blot nogenlunde realistiske skøn over, hvilken størrelsesorden det drejer sig om. Mange forhold bliver ikke opdaget, bl.a. fordi der er mangelfuld kontrol med de ansattes adgang til at betjene et dataanlæg eller mangelfuld revision eller anden efterfølgende kontrol med de forhold, som er genstand for databehandling. Men en væsentlig rolle spiller det formentlig også, at der i mange tilfælde ikke sker anmeldelse til politiet af forhold, der er blevet opdaget. Det kan bl.a. skyldes det også fra underslæbssager kendte forhold, at et firma ønsker at undgå publicitet omkring interne fremgangsmåder, der med rette eller urette kan give indtryk af manglende sikkerhed og kontrol, og at firmaet desuden finder, at en afskedigelse - eventuelt i forbindelse med en aftale om tilbagebetaling - og en ændret intern praksis er en tilstrækkelig reaktion. Ligesom det er vanskeligt at skønne over datakriminalitetens reelle omfang, savnes der holdepunkter for at sige noget generelt om, i hvilken grad eller på hvilke områder man har forsømt at følge den øgede brug af datateknik op med nærliggende og let praktikable sikkerhedsforanstaltninger. Der kan dog næppe være tvivl om, at virksomheder og myndigheder
17 i betydeligt omfang udfolder bestræbelser for at øge sikkerheden mod, at dataanlæg kan misbruges af ansatte eller udefra kommende personer. I forbindelse med den opgave, der foreligger for straffelovrådet, bør det understreges, at brugen af sikkerhedsforanstaltninger utvivlsomt har en langt større præventiv betydning end nogle ændringer i straffelovens afgrænsning af det strafbare område. 1.3. Gerningstyper og lovregler I straffeloven findes der kun en enkelt bestemmelse, der ved selve sin formulering viser, at den har noget at gøre med elektronisk databehandling. Det er 152, stk. 4, om brud på tavshedspligt, begået af en person, der har fået en vis viden "under arbejde for en virksomhed, der maskinelt behandler eller opbevarer oplysninger for det offentlige". Men i øvrigt beror dataforholds strafbarhed på, om de er dækkede af gerningsbeskrivelsen i en bestemmelse, der kan overtrædes på mange forskellige måder, f.eks. 263 om fredskrænkelser eller 279 om bedrageri. Mange bestemmelser i straffeloven - bl.a. i kap. 28 om berigelsesforbrydelser - har ikke været ændrede siden lovens vedtagelse i 1930, da ingen tænkte på datateknik, men alligevel vil mange dataforhold være omfattet af ordvalget i sådanne bestemmelser. Når man opdeler angreb på eller misbrug af dataanlæg i en række forskellige typer, er det for de fleste forholds vedkommende relativt let at afgøre, om de falder indenfor eller udenfor en straffebestemmelses område, medens spørgsmålet på nogle punkter frembyder tvivl. Straffelovrådet har i de følgende afsnit anvendt den systematik, at udgangspunktet tages i de straffebestemmelser, som må antages at finde anvendelse på forskellige former for datakriminalitet. Inden for hver bestemmelse søges det belyst, hvilke forhold der må antages at være strafbare, og det drøftes, om der må antages at være behov for lovændringer. De vigtigste af de typer af datakriminalitet, som skal tages i betragtning, kan skematisk opstilles således:
18 1) Ulovligt indblik i andres data. En række datamisbrug består i at skaffe sig uberettiget adgang til andres dataoplysninger uden herved at ændre oplysningernes indhold eller i øvrigt påvirke den fremtidige retmæssige brug af dataanlægget. Sådanne handlinger må opfattes som fredskrænkelser på linie med de i straffelovens 263 ff. beskrevne krænkelser af andres ret til at have deres gemmer, brevveksling, samtaler, privatliv m.v. uforstyrret for sig selv. 2) Videreg ivelse af data. Den, som i medfør af et ansættelsesforhold o.l. lovligt har fået kendskab til oplysninger, kan misbruge sin viden ved at videregive oplysninger til andre. Datateknik som middel til berigelsesforbrydelser. Misbrug af et dataanlæg kan på forskellige måder være et middel til at begå en af straffelovens kap. 28 omfattet berigelsesforbrydelse. De forbrydelser, som især kommer i betragtning, er bedrageri ( 279), pengeunderslæb ( 278, stk. 1, nr. 3) og mandatsvig ( 280). Derimod vil datateknik formentlig sjældnere være et middel til at begå tyveri ( 276) eller tingsunderslæb ( 278, stk. 1, nr. 1), men et dataanlæg eller dele heraf kan i sig selv være genstand for en sådan forbrydelse. 4) Beskadigelse og ødelæggelse af dataanlæg og data. Uden at have forsæt til at skaffe sig selv eller andre uberettiget økonomisk vinding kan en person angribe en andens dataanlæg ved handlinger, der medfører en beskadigelse eller ødelæggelse af selve anlægget eller dele heraf eller af lagrede oplysninger. Foruden ting'sbeskadigelse og -ødelæggelse efter 291 omtales senere de forhold af særlig grovhed eller farlighed, der kan forvoldes ved brandstiftelse eller sprængning eller medføre omfattende forstyrrelse af kommunikationsmidler o.l.
19 5) Ulovlig brug af et datanlæg. Den uberettigede brug af en andens dataanlæg eller af tilbehør hertil kan straffes efter straffelovens 293 om brugstyveri. Da denne bestemmelse ligesom 291 indeholder udtrykket "ting", må det overvejes, om der kan forekomme en uberettiget brug af andres dataoplysninger, der ikke er omfattet af dette udtryk. 6) Forfalskning af bevismidler. Et uberettiget indgreb i dataregistrerede oplysninger kan have lighed med dokumentfalsk og andre bevisforbrydelser, når gerningsmanden handler med forsæt til at forvanske de beviser, som senere kan tænkes støttet på et dataanlægs udvisende. Eksempler herpå kan foreligge, hvor forvanskning af dataoplysninger sker for at skjule en allerede begået berigelsesforbrydelse, eller hvor forvanskningen angår retsforhold, der ikke har noget at gøre med økonomiske forhold. 7) Modtagelse af penge eller oplysninger efte en forudgående dataforbrydelse. Til datakriminalitet i vid forstand kan bl.a. henregnes nogle tilfælde, hvor en person begår hæleri eller et hermed beslægtet forhold ved at modtage penge eller oplysninger, der er fremkommet ved en egentlig dataforbrydelse, f.eks. underslæb ved dataoverførsel af penge eller ulovlig tapning af beskyttede oplysninger om forretningsforhold. 8) Tilegnelse eller brug af ophavsretligt beskyttede programmer for databehandling. Udenfor tilfælde, hvor tilegnelse af dataprogrammer kan bedømmes som tyveri eller tingsunderslæb, kan der tænkes tilfælde, hvor sådan tilegnelse af beskyttede programmer er eller bør være en krænkelse af ophavsretten til programmer. De gældende straffelovsbestemmelser - eventuelt med visse udvidelser - finder anvendelse på ret forskelligartede gerningsty-
20 per. Bestemmelser om fredskrænkelser angår typisk det blotte indblik i andres dataoplysninger uden indgreb i deres indhold eller behandling. Nogle bestemmelser om formueforbrydelser retter sig alene eller fortrinsvis mod dataanlæg eller dele heraf som fysiske genstande, medens andre angår et dataanlægs informationer og deres behandling. Fælles for alle berigelsesforbrydelser (modsat f.eks. tingsødelæggelse og brugstyveri) er et krav om, at der skal være handlet med berigelsesforsæt. Dette gør det nødvendigt at overveje, om der er fornøden strafhjemmel i tilfælde, hvor datakriminalitet ikke er forbundet med (beviseligt) berigelsesforsæt. Af berigelsesforbrydelserne vil pengeunderslæb og mandatsvig være begrænsede til personer, der i kraft af et ansættelsesforhold eller lignende har en særlig tilknytning til den person eller virksomhed, hvor forbrydelsen begås, medens bedrageri o.l. kan begås såvel af ansatte som af udefra kommende personer, der skaffer sig adgang til at betjene et dataanlæg. De fleste af de straffelovsbestemmelser, der kommer i betragtning, forudsætter, at der er handlet med forsæt, jfr. straffelovens 19. Der er dog enkelte bestemmelser om uagtsomhed, bl.a. 291, stk. 3, om tingsbeskadigelse eller -ødelæggelse af betydeligt omfang, ligesom uagtsomhed som hovedregel er omfattet af straffebestemmelser i særlovgivningen, bl.a. markedsføringsloven. Straffelovrådet har overvejet, om der er behov for at ramme uagtsomme (eventuelt blot groft uagtsomme) datamisbrug, som ikke i dag er strafbare. Man er nået til den konklusion, at der ikke bør stilles forslag om nykriminalisering af forhold, der ikke er begået med forsæt, se dog kapitel 5 om 193. Spørgsmålet om fastsættelse af strafferammer omtales i forbindelse med de enkelte forbrydelsestyper. Straffelovrådet har ikke i det følgende anført detailhenvisninger til litteraturen om de omtalte strafbare gerningstyper. For så vidt angår litteratur på dansk om EDB-kriminalitet skal navnlig fremhæves Ulla Høgs artikel "EDB og EDB-kriminalitet" i Anklagemyndighedens årsberetning 1981, side 58-73, og Vagn Greves bog "EDB-strafferet" (1984).
21 Kapitel 2 Fredskrænkelser 2.1. Straffelovens bestemmelser om fredskrænkelser, navnlig 263-264 d, handler om forskellige former for uberettiget indtrængen på områder eller indblik i forhold, som private, virksomheder, myndigheder m.v. har et rimeligt krav på at have uforstyrret for sig selv. Hovedtyper af fredskrænkelser er krænkelse af brevhemmeligheden, husfredskrænkelse, ulovlig aflytning og fotografering samt videregivelse af meddelelser eller billeder vedrørende private forhold, se nærmere nedenfor. Bestemmelserne om fredskrænkelser blev revideret ved lov nr. 89 af 29. marts 1972 på grundlag af straffelovrådets betænkning om privatlivets fred (Bet. nr. 601, 1971). Om lovforslaget henvises til FT 1971-72, tillæg A, sp. 551 ff. Et af formålene med denne revision var at indføje bestemmelser om fredskrænkelser begået med de i den nyeste tid udviklede tekniske midler til aflytning, lydoptagelse, iagttagelse og fotografering. Den elektroniske databehandling havde i 1971-72 endnu ikke nået en sådan udvikling og fået en sådan udbredelse, at der var anledning til at foreslå bestemmelser herom i forbindelse med en revision af 263 ff. Databehandlingen var dog ikke ukendt, og på et enkelt punkt blev loven af 1972 om ændring af straffeloven udformet med databehandling for øje. Som det allerede er nævnt, findes der i 152, stk. 4, en bestemmelse om krænkelse af tavshedspligt, begået af den, der har fået en vis viden "under arbejde for en virksomhed, der maskinelt behandler eller opbevarer oplysninger for det offentlige". Bestemmelsen blev i 1971 efter afgivelsen af straffelovrådets betænkning foreslået af justitsministeriets registerudvalg, der havde til opgave at overveje problemer i forbindelse med brugen af offentlige og private registre. I sin udtalelse af juli 1971 omtalte registerudvalget den EDB-behandling og anden maskinelle behandling, som private servicevirksomheder på den tid udførte